Protezione dei dati personali e PA. Intervista al Prof. Avv. Fabio Francario

La redazione di DIMT ha intervistato il Professor Avvocato Fabio Francario in merito alla Sua recente pubblicazione “Protezione dati personali e pubblica amministrazione”, approfondendo aspetti di gestione della tutela dei diritti della protezione dei dati personali da parte del GPDP e dei recenti sviluppi nell’ambito di obblighi e doveri inerenti alla certificazione verde.

Il Prof. Avv. Fabio Francario

Il Professor Avvocato Fabio Francario, ordinario di Diritto amministrativo, è membro del Direttivo dell’Associazione Italiana Professori di Diritto Amministrativo – A.I.P.D.A. e di comitati redazionali, scientifici e di valutazione di riviste, trattati e collane  giuridiche di primaria rilevanza. Direttore scientifico delle “Giornate di studio sulla giustizia amministrativa” organizzate in collaborazione con il Dipartimento di Scienze Politiche e Internazionali dell’Università di Siena.

Già Presidente, nella Federazione Italiana di Atletica leggera – FIDAL; della Commissione Federale di Garanzia, della Corte di Giustizia e della Corte Federale d’appello, attualmente è componente della Commissione di Garanzia degli Organi di Giustizia del Comitato Italiano Paralimpico. Avvocato abilitato al patrocinio presso le giurisdizioni superiori, presta attività di assistenza e consulenza ad amministrazioni, privati e imprese specializzata in diritto amministrativo.

Nel Suo recente saggio “Protezione dati personali e pubblica amministrazione” affronta, all’interno del procedimento amministrativo, il rilievo che viene dato al diritto alla protezione dei dati personali. A Suo avviso come viene affrontato il rapporto tra questi importanti temi e quale importanza viene data alla tutela dei dati personali nell’ambito del procedimento amministrativo?

L’esigenza di protezione dei dati personali nei procedimenti amministrativi non è più un fatto soltanto eventuale o occasionale, ma s’impone ormai con carattere di necessarietà e di generalità. Non solo perché, tecnologicamente, l’amministrazione digitale oggi come oggi impiega fonti d’informazione organizzate nella forma di vere e proprie banche dati digitalizzate che implicano inevitabilmente il trattamento di dati personali; ma anche perché in punto di diritto le amministrazioni pubbliche sono soggette ad un vero e proprio obbligo di riorganizzare tutti i propri processi decisionali in chiave privacy. Tutte le attività devono essere classificate in un apposito registro, in modo da consumare una prima valutazione circa la necessità e la proporzionalità del trattamento rispetto alle finalità per cui viene effettuato, e da consentire poi anche una valutazione probabilistica del rischio che il trattamento leda diritti e libertà delle persone fisiche e a predisporre, ove necessario, le adeguate misure organizzative per evitare che ciò accada. Ciò ha impegnato e sta tutt’ora impegnando le risorse e le energie dell’Amministrazione in uno sforzo organizzativo forse senza precedenti per compiere una mappatura di tutti i procedimenti in chiave privacy, evidenziando le situazioni di rischio per gli interessati e imponendo all’Amministrazione di auto-vincolarsi al rispetto delle regole di prevenzione conseguentemente predisposte. La necessità della considerazione dell’interesse alla protezione dei dati personali, come interesse antagonista dell’interesse primario per la tutela del quale viene aperto il procedimento amministrativo, è dunque imposta a prescindere dall’esistenza di una disposizione di legge che sia dettata per quella specifica tipologia procedimentale ed è frutto di una previsione generale che obbliga la pubblica amministrazione a valutare preliminarmente, per ogni procedimento, se sussista anche solo il rischio che il diritto possa esser leso dall’azione amministrativa.

Qual è il punto di equilibrio tra il trattamento dati ai fini del pubblico interesse e il diritto alla tutela dei dati personali? Quali sono a Suo avviso, i punti più delicati di questa tematica nell’attuale contesto di vaccinazioni, Green Pass e tracciamento?

Deve ritenersi pacifico che oggi come oggi la privacy debba essere intesa come contenuto di un diritto individuale non più limitato soltanto ad evitare ingerenze nella propria sfera personale (“right of the individual to be let alone”), ma esteso all’uso e alla circolazione dei propri dati personali, ovvero come un diritto che ha ad oggetto i dati personali e la capacità dispositiva degli stessi, e che un tale diritto deve essere ovviamente rispettato anche delle amministrazioni pubbliche. Proprio in ragione della sua particolare emersione in sede procedimentale, di cui si è appena detto, bisogna però fare molta attenzione per evitare che finisca con il divenire un fattore di paralisi dell’attività amministrativa. Proprio l’emergenza pandemica ha ricordato e sottolineato che non esistono diritti fondamentali del singolo che non possano essere sacrificati per ragioni d’interesse pubblico (penso per tutti al dialogo tra J. Habermas e K. Gunter, “Diritti fondamentali: Nessun diritto fondamentale vale senza limiti” ospitato dal settimanale Die Zeit il 9 maggio 2020), e non c’è motivo per cui ciò non debba valere anche per il diritto alla protezione dei dati personali. Nel più specifico ambito del diritto amministrativo andrebbe peraltro sottolineato che l’eccessivo condizionamento esercitato dall’esigenza di tutela del diritto alla protezione dei dati personali si porrebbe in manifesta controtendenza con lo sforzo di semplificazione in atto in tutti i campi dell’ordinamento volto a recuperare efficienza ed efficacia dell’azione amministrativa. Penso in particolare agli interventi normativi volti a rimuovere l’effetto paralizzante causato dalla “paura della firma” attraverso la limitazione della responsabilità penale ed erariale dei pubblici funzionari o volti a rendere disponibili per l’amministrazione procedente interessi pubblici tradizionalmente indisponibili quali salute, ambiente, paesaggio e beni culturali attraverso la crescente previsione di meccanismi sostitutivi del decisore pubblico in caso di dissenso. Bisognerebbe pertanto valorizzare maggiormente gli spunti interpretativi offerti dal GDPR nel momento in cui considera “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” come una delle possibili basi giuridiche che consentono di ritenere lecito il trattamento dei dati comuni o ordinari e di fare eccezione, in ipotesi più circoscritte, al divieto di trattamento altrimenti esistente per i dati particolari. Lo stesso GDPR prevede espressamente l’eccezione al divieto di trattamento di dati particolari, quali il diritto alla salute, nel caso il trattamento si renda necessario per motivi d’interesse pubblico nel settore della sanità pubblica tra i quali la protezione da gravi minacce per la salute a carattere transfrontaliero. Tutto sta nel capire l’intensità che si vuole dare, in punto d’interpretazione, al principio di legalità dell’azione amministrativa.

Quali sono gli aspetti che maggiormente richiederanno la sensibilizzazione e l’intervento preventivo del GPDP nel tema del diritto alla protezione dei dati sensibili?

Il Garante è chiamato a svolgere un ruolo delicatissimo non tanto nei confronti dei soggetti privati, quanto delle altre pubbliche amministrazioni. Caso quasi unico nel suo genere, è un’autorità (pubblica) che non viene creata per curare un interesse superindividuale che il legislatore abbia ritenuto meritevole di protezione come pubblico; come avviene nella generalità dei casi degli enti e delle amministrazioni pubbliche, anche se qualificate neutrali o più genericamente indipendenti e con compiti di mera regolazione. L’Authority è concepita per garantire la tutela di un interesse che è il contenuto di un diritto fondamentale individuale e il sistema funziona perfettamente se il titolare è una impresa che tratta big data o comunque un soggetto privato. Se la base giuridica del trattamento è il consenso, ben si comprende che il titolare deve chiarire per quale specifica finalità i dati vengono raccolti perché è evidente che esso non può essere validamente dato dall’interessato “in bianco”, per qualsivoglia uso o finalità cui non si presti espressamente il consenso. Ben si comprende anche l’importanza delle regole della cd minimizzazione, che impongono al titolare di usarne nei limiti di quanto strettamente necessario per la specifica finalità dichiarata perché questi, diversamente, non sarebbe tenuto a comportarsi in tal modo, ad osservare cioè il principio cd di proporzionalità connaturato invece all’azione propria dei pubblici poteri.

Le cose stanno diversamente se la base giuridica del trattamento è data dalla “esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. In tal caso la finalità è istituzionalmente già nota e il titolare è già di per sé tenuto ad osservare il principio di proporzionalità nella propria azione. Bisogna pertanto evitare di riproporre acriticamente la matrice privatistica del sistema anche in tal caso, altrimenti le pubbliche amministrazioni rischiano di rimanere soffocate da interpretazioni eccessivamente restrittive del principio di legalità dell’azione amministrativa.

Il Garante deve riuscire a trovare il giusto equilibrio per evitare che la peculiarità della sua mission istituzionale, finalizzata ad assicurare la tutela di un diritto individuale, la porti ad una contrapposizione frontale con le altre pubbliche amministrazioni o ad intervenire praticamente in tutti i procedimenti amministrativi come un’amministrazione generale di secondo livello.